Aktualności

Pełnomocnik ds. cyberbezpieczeństwa – jak dobrze wybrać osobę, która nie będzie tylko „od dokumentów”?

Grafika przedstawiająca pełnomocnika ds. cyberbezpieczeństwa jako eksperta wspierającego organizację w zarządzaniu ryzykiem, zgodności z KSC/NIS2, ciągłości działania i raportowaniu do kierownictwa.

Cyberbezpieczeństwo coraz rzadziej jest wyłącznie sprawą informatyków. Dziś to obszar, który dotyka odpowiedzialności kierownictwa, ciągłości działania, ochrony danych, umów z dostawcami, ryzyka operacyjnego i gotowości organizacji na incydenty.

Dlatego wybór pełnomocnika ds. cyberbezpieczeństwa nie powinien być formalnością. To nie jest funkcja, którą warto powierzyć przypadkowo, „bo ktoś zna się na komputerach” albo „bo trzeba kogoś wpisać w dokumentach”. Dobry pełnomocnik powinien realnie pomagać organizacji zapanować nad cyberbezpieczeństwem — nie tylko opisywać je w procedurach.

Warto zaznaczyć, że sama nazwa „pełnomocnik ds. cyberbezpieczeństwa” może mieć charakter organizacyjny. Kluczowe nie jest nazewnictwo stanowiska, ale faktyczne przypisanie odpowiedzialności za koordynację działań, raportowanie ryzyk, nadzór nad incydentami, ciągłością działania i zgodnością z wymaganiami prawa.

Znaczenie tej funkcji wzrosło szczególnie po nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa. Podmioty kluczowe i ważne, które spełniały ustawowe kryteria w dniu wejścia w życie nowelizacji, mają obowiązek dokonania wpisu do Wykazu KSC do 3 października 2026 r., a na wdrożenie obowiązków z zakresu SZBI mają czas do 3 kwietnia 2027 r. Podmioty kluczowe mają również przeprowadzić pierwszy obowiązkowy audyt cyberbezpieczeństwa do 3 kwietnia 2028 r.

To pokazuje, że cyberbezpieczeństwo nie jest już dodatkiem do informatyki. Staje się częścią zarządzania organizacją.

Cyberbezpieczeństwo to nie tylko IT

Najczęstszy błąd polega na traktowaniu cyberbezpieczeństwa wyłącznie jako sprawy technicznej. Oczywiście technologia ma ogromne znaczenie. Zapory sieciowe, kopie zapasowe, segmentacja sieci, MFA, EDR, aktualizacje i monitoring są ważne. Ale same narzędzia nie tworzą jeszcze systemu cyberbezpieczeństwa.

Organizacja może mieć dobre zabezpieczenia techniczne, a jednocześnie nie wiedzieć, kto podejmuje decyzję podczas incydentu, kto kontaktuje się z dostawcą, kto ocenia skutki dla danych osobowych, kto zgłasza incydent, kto informuje kierownictwo, gdzie przechowywane są dowody i jak sprawdza się, czy procedury rzeczywiście działają.

Pełnomocnik ds. cyberbezpieczeństwa powinien łączyć świat techniczny ze światem zarządczym. Powinien rozumieć informatyków, ale jednocześnie potrafić rozmawiać z kierownictwem językiem ryzyka, odpowiedzialności i decyzji.

Pełnomocnik nie zastępuje kierownictwa

Warto jasno powiedzieć: pełnomocnik ds. cyberbezpieczeństwa nie zdejmuje odpowiedzialności z kierownictwa organizacji.

Może doradzać, koordynować, raportować, przygotowywać rekomendacje, prowadzić analizę ryzyka i nadzorować działania. Nie podejmuje jednak za kierownictwo wszystkich decyzji i nie przejmuje odpowiedzialności za funkcjonowanie organizacji.

NIS2 wskazuje, że organy zarządzające podmiotów kluczowych i ważnych mają zatwierdzać środki zarządzania ryzykiem cyberbezpieczeństwa, nadzorować ich wdrożenie i odbywać szkolenia pozwalające rozumieć ryzyka oraz wpływ cyberbezpieczeństwa na świadczone usługi.

Rola pełnomocnika polega więc na tym, aby kierownictwo wiedziało, jakie ryzyka istnieją, które zabezpieczenia nie działają, jakie decyzje trzeba podjąć i jakie mogą być konsekwencje braku działania.

Dobry pełnomocnik nie mówi wyłącznie: „wszystko jest w porządku”. Dobry pełnomocnik potrafi powiedzieć również: „tu mamy lukę”, „tego nie testowaliśmy”, „ten dostawca jest ryzykowny”, „ta procedura istnieje tylko na papierze”, „w tym obszarze kierownictwo musi podjąć decyzję”.

Pełnomocnik nie może być tylko autorem procedur

Jednym z większych nieporozumień jest sprowadzanie tej funkcji do tworzenia dokumentacji. Oczywiście dokumenty są potrzebne. Polityki, procedury, rejestry, analizy ryzyka, raporty i plany działań są częścią systemu. Ale nie są jego celem samym w sobie.

Cyberbezpieczeństwo zaczyna się dopiero wtedy, gdy dokumenty przekładają się na praktyczne działanie.

Procedura obsługi incydentu ma sens tylko wtedy, gdy pracownicy wiedzą, jak zgłosić zdarzenie. Rejestr ryzyk ma sens tylko wtedy, gdy jest aktualizowany i omawiany. Plan ciągłości działania ma sens tylko wtedy, gdy był testowany. Analiza dostawców ma sens tylko wtedy, gdy wpływa na umowy i decyzje zakupowe.

Pełnomocnik powinien więc budować system, a nie segregator.

Jakie cechy powinien mieć dobry pełnomocnik?

Dobry pełnomocnik ds. cyberbezpieczeństwa powinien mieć kilka kompetencji jednocześnie. Sama wiedza techniczna nie wystarczy. Sama znajomość przepisów również nie wystarczy. Certyfikaty bez doświadczenia też nie wystarczą.

Najważniejsza jest zdolność łączenia kilku obszarów: bezpieczeństwa informacji, cyberbezpieczeństwa technicznego, zarządzania ryzykiem, ciągłości działania, ochrony danych osobowych, audytu oraz komunikacji z kierownictwem.

To osoba, która powinna rozumieć, że incydent ransomware nie jest tylko problemem informatycznym. To jednocześnie problem operacyjny, prawny, organizacyjny, wizerunkowy i często także problem ochrony danych osobowych.

W praktyce dobry pełnomocnik powinien potrafić odpowiedzieć na pytania: czy organizacja zna swoje najważniejsze procesy, czy wie, które systemy są krytyczne, czy ma przetestowane kopie zapasowe, czy potrafi obsłużyć incydent, czy wie, kiedy zgłaszać naruszenie, czy ma nadzór nad dostawcami, czy kierownictwo otrzymuje rzetelne raporty i czy działania z zakresu cyberbezpieczeństwa są faktycznie realizowane.

Dobry pełnomocnik buduje świadomość, mierzalność i decyzyjność

Największą wartością dobrego pełnomocnika jest to, że pomaga organizacji podejmować świadome decyzje. Nie chodzi o straszenie cyberatakami. Chodzi o rzetelne pokazanie ryzyk, możliwych skutków i działań, które trzeba podjąć, aby organizacja była lepiej przygotowana na incydenty.

Kierownictwo powinno wiedzieć, które obszary są zabezpieczone, które wymagają poprawy, gdzie brakuje zasobów, które ryzyka zaakceptowano, a które trzeba ograniczyć. Bez takiej informacji nie ma realnego zarządzania cyberbezpieczeństwem.

Istotnym elementem powinien być również regularny przegląd zarządzania cyberbezpieczeństwem. Kierownictwo powinno cyklicznie otrzymywać informację o stanie ryzyk, incydentach, skuteczności zabezpieczeń, wynikach audytów, testach ciągłości działania, problemach z dostawcami, potrzebnych zasobach oraz działaniach wymagających decyzji. Bez takiego przeglądu cyberbezpieczeństwo pozostaje rozproszone i trudno nim skutecznie zarządzać.

Pełnomocnik powinien także dbać o testowanie skuteczności przyjętych rozwiązań. Procedury, plany awaryjne, kopie zapasowe, ścieżki eskalacji i komunikacja incydentowa powinny być sprawdzane w praktyce. Testy nie służą temu, aby udowodnić, że wszystko jest idealne. Służą temu, aby wykryć słabe punkty, zanim zrobi to realny incydent.

Szczególne znaczenie ma ciągłość działania. Cyberatak bardzo często nie kończy się na problemie technicznym. Może zatrzymać obsługę mieszkańców, klientów, pacjentów, kontrahentów albo procesów wewnętrznych. Dlatego pełnomocnik powinien wspierać organizację w powiązaniu cyberbezpieczeństwa z planami ciągłości działania, testami odtworzeniowymi, priorytetami usług i decyzjami o akceptowalnym czasie przerwy.

Dobry pełnomocnik nie działa obok organizacji. Działa wewnątrz jej procesów. Współpracuje z IT, IOD, kadrą zarządzającą, właścicielami procesów, zamówieniami, prawnikami, audytorami i dostawcami.

Ostatecznie wybór pełnomocnika powinien prowadzić do większej dojrzałości organizacji. Nie chodzi o to, aby mieć osobę wpisaną w dokumentach. Chodzi o to, aby organizacja wiedziała, jakie ma ryzyka, jak je nadzoruje, jak mierzy skuteczność zabezpieczeń, jak reaguje na incydenty i jak utrzymuje działanie najważniejszych usług.

Certyfikaty są ważne, ale nie mogą przesłaniać praktyki

Przy wyborze pełnomocnika warto zwracać uwagę na certyfikaty i potwierdzenia kompetencji. Szczególnie istotne mogą być kwalifikacje związane z ISO/IEC 27001, ISO 22301, audytem systemów zarządzania, zarządzaniem ryzykiem i cyberbezpieczeństwem, uzupełnione znajomością zabezpieczeń opisanych w ISO/IEC 27002.

Trzeba jednak zachować zdrowy rozsądek. Certyfikat nie jest gwarancją skuteczności. Może potwierdzać wiedzę, udział w szkoleniu albo zdanie egzaminu, ale nie zastępuje doświadczenia w realnych organizacjach.

Warto więc patrzeć nie tylko na to, czy ktoś posiada certyfikat, ale również na to, czy potrafi zastosować wiedzę w praktyce. Czy prowadził analizę ryzyka? Czy uczestniczył w audytach? Czy przygotowywał organizację do kontroli? Czy zna proces obsługi incydentu? Czy potrafi rozmawiać z kierownictwem? Czy rozumie ciągłość działania? Czy wie, jak dokumentować dowody?

Certyfikat jest dobrym sygnałem. Nie powinien być jednak jedynym powodem wyboru.

Dlaczego kompetencje audytora wiodącego są wartościowe?

Szczególnie cenne mogą być kompetencje audytora wiodącego, zwłaszcza w obszarze ISO/IEC 27001 lub ISO 22301. Taka osoba zwykle lepiej rozumie, że system zarządzania nie polega na deklaracjach, ale na dowodach.

Audytor wiodący powinien umieć oceniać skuteczność działań, analizować zapisy, identyfikować niezgodności, zadawać właściwe pytania i formułować wnioski dla kierownictwa. To bardzo przydatne w pracy pełnomocnika.

Pełnomocnik z takim doświadczeniem będzie patrzył szerzej. Nie zapyta tylko: „czy mamy procedurę?”. Zapyta również: „czy ona działa?”, „kto ją zna?”, „kiedy była testowana?”, „jakie były wyniki?”, „jakie działania korygujące podjęto?”, „czy kierownictwo dostało informację?”.

To ogromna różnica.

Ale pełnomocnik nie powinien audytować samego siebie

Kompetencje audytowe są zaletą, ale trzeba zachować jedną ważną zasadę: pełnomocnik nie powinien być jednocześnie niezależnym audytorem własnej pracy.

Jeżeli ta sama osoba lub ten sam podmiot wdraża system, prowadzi go, nadzoruje, a potem samodzielnie ocenia jego skuteczność jako audytor, pojawia się problem bezstronności. Audyt ma dawać kierownictwu niezależny obraz sytuacji. Jeżeli audytor sprawdza własne działania, ta niezależność jest osłabiona.

Pełnomocnik może wykonywać przeglądy, samooceny, analizy, przygotowanie do audytu i bieżące kontrole. To normalne i potrzebne. Natomiast niezależny audyt powinien być wykonany przez osobę, która nie ocenia własnej pracy.

To szczególnie ważne w organizacjach, które muszą wykazać zgodność z wymaganiami KSC, NIS2, ISO/IEC 27001 lub ISO 22301. W razie kontroli albo incydentu pytanie o niezależność oceny może mieć duże znaczenie.

Jak poznać, że kandydat naprawdę rozumie cyberbezpieczeństwo?

Najlepszym sposobem nie jest samo sprawdzenie CV. Znacznie lepiej zobaczyć, jak kandydat myśli.

Można zadać proste pytanie scenariuszowe:

„W piątek po południu organizacja wykrywa zaszyfrowanie części zasobów. Nie działają wybrane systemy. Co robimy przez pierwsze dwie godziny?”.

Dobra odpowiedź nie będzie ograniczać się do zdania: „trzeba odtworzyć kopię zapasową”. Dobra odpowiedź powinna obejmować decyzje, role, komunikację, zabezpieczenie dowodów, ocenę skali zdarzenia, ciągłość działania, kontakt z dostawcami, ocenę naruszenia danych osobowych, informowanie kierownictwa i dalszą eskalację.

Cyberbezpieczeństwo w praktyce to nie pojedyncza czynność. To skoordynowane działanie wielu osób pod presją czasu.

pelnomocnik_ds_cyberbezpieczenstwa

Na co uważać?

Ostrożność powinny wzbudzić sytuacje, w których kandydat obiecuje pełną zgodność bez wcześniejszej analizy organizacji. Cyberbezpieczeństwa nie da się rzetelnie ocenić bez poznania procesów, systemów, dostawców, danych, ryzyk i sposobu działania jednostki.

Sygnałem ostrzegawczym jest także podejście, w którym wszystko sprowadza się do zakupu sprzętu albo napisania dokumentacji. Jedno i drugie może być potrzebne, ale żadne z nich samo w sobie nie rozwiązuje problemu.

Jeżeli ktoś obiecuje pełną zgodność po krótkim przeglądzie dokumentów, bez rozmowy o procesach, dostawcach, incydentach i ciągłości działania, to nie jest doradztwo — to sprzedaż pozoru bezpieczeństwa.

Warto też uważać na osoby, które nie mówią o raportowaniu do kierownictwa. Jeżeli pełnomocnik komunikuje się wyłącznie z IT, to funkcja nie działa prawidłowo. Cyberbezpieczeństwo musi być widoczne na poziomie zarządczym.

Co powinno zostać po wyborze pełnomocnika?

Po wyborze pełnomocnika ds. cyberbezpieczeństwa organizacja nie powinna zostać wyłącznie z dokumentami. Powinna zyskać uporządkowany sposób zarządzania cyberbezpieczeństwem: jasne role, określone ryzyka, działające procedury, mierniki skuteczności, regularne raportowanie i realną gotowość do reakcji na incydenty.

Pełnomocnik ds. cyberbezpieczeństwa powinien zostawić po sobie nie tylko polityki i procedury, ale przede wszystkim działający system: mierzalny, testowany, raportowany kierownictwu i stale doskonalony.

Dopiero wtedy pełnomocnik ds. cyberbezpieczeństwa staje się realnym wsparciem organizacji, a nie tylko nazwiskiem wpisanym w dokumentację.

Źródła

  • Ministerstwo Cyfryzacji – informacje dotyczące nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa oraz terminów dla podmiotów kluczowych i ważnych.
  • Dyrektywa NIS2 – obowiązki organów zarządzających w zakresie zatwierdzania i nadzorowania środków zarządzania ryzykiem cyberbezpieczeństwa.

Potrzebujesz wsparcia w ocenie obowiązków KSC/NIS2, wdrożeniu SZBI albo wyborze pełnomocnika ds. cyberbezpieczeństwa? Skontaktuj się z nami — pomożemy przełożyć wymagania prawne i normatywne na praktyczne działania w organizacji.

Aktualności